Gibt es eine Standardmethode zum Nachweis der Passwortsicherheit für Nicht-Mathematiker?

Mein Client verfügt über einen Server, der Brute-Force-Anmeldeversuchen eines Botnetzes ausgesetzt ist. Aufgrund der Unklarheiten des Servers und des Clients des Clients können wir die Versuche durch eine Firewall, eine Portänderung oder eine Änderung des Namens des Anmeldekontos nicht einfach blockieren.

Die Entscheidung wurde getroffen, um es für Angriffe offen zu lassen, aber eine Methode zu finden, um das Passwort sicher zu halten. Das Management und einige der anderen Berater haben festgestellt, dass es am besten ist, eine Software für die Kennwortrotation zu installieren, um das Kennwort alle zehn Minuten zu rotieren und Benutzern, die sich anmelden müssen, das neue Kennwort bereitzustellen.

Die Brute-Force-Versuche finden zweimal pro Sekunde statt.

Ich muss zeigen, dass die Implementierung eines sicheren Passworts mit 12-15 Zeichen eine einfachere und kostenlose Lösung ist. Ich weiß, wie man das mit Mathematik beweist, aber ich würde nur so etwas schreiben: "Es gibt x viele mögliche Permutationen unseres Passworts, und der Angreifer kann nur n Versuche pro Tag versuchen, daher erwarten wir, dass sie gehen. X / Im Durchschnitt 2n Tage, bevor sie unser Passwort erraten. " Gibt es einen besseren "Beweis" dafür?

Die Verwendung von fail2ban mit den iptables ist eine großartige Möglichkeit.

Hier ist die Mathematik für Sie:

Gemischte Groß- und Kleinbuchstaben und gebräuchliche Symbole mit einer Länge von 8 Zeichen ergeben 2,9 Billiarden Kombinationen. Bei 10.000 Versuchen dauert eine Sekunde 9.488 Jahre. Das ist natürlich das Maximum - erwarten Sie, dass Ihr Passwort in 4000 Jahren geknackt wird. 1000 Jahre, wenn Sie kein Glück haben.

Wie Sie sehen, sollten Sie keine Probleme haben, wenn Sie ein 15-stelliges Passwort eingeben:

dJ&3${bs2ujc"qX

Zusätzlich zu fail2ban

Wenn Sie ein modernes UNIX-System verwenden, können Sie die Ruhezeit für ungültige Kennworteingaben im Allgemeinen auf bis zu 5 Sekunden ändern und so die Angriffsgeschwindigkeit um 2000% verringern. [Solaris 10 befindet sich in / etc / default / login und sucht nach SLEEPTIME.] Wenn Sie die gleichen Toleranzen verwenden, können Sie das Kennwort alle 3 Stunden und 20 Minuten wechseln.

Auch Kennwortversuche vor dem Sperren wären eine sinnvolle Option, aber ich vermute, dass dies nichts für Sie ist, da Sie mehrere Benutzer haben, die sich ein Konto teilen, und nicht möchten, dass es die ganze Zeit gesperrt wird.

Das Erfordernis eines Kennworts mit 12 bis 15 Zeichen hilft, aber wenn Sie ständig angegriffen werden, ist eine andere Lösung wahrscheinlich besser. Ich weiß nicht, wie hoch die Budgettoleranz Ihres Unternehmens ist, aber RSA-Schlüsselkarten für alle, die sich in dieses Konto einloggen müssen, würden dies ebenfalls beheben. Die Zwei-Faktor-Authentifizierung verschiebt die Wahrscheinlichkeit in die Quantenrechenzeit.

Der Brute-Force-Ansatz, der lange genug andauert, um auf diesem Board zu posten, ist ziemlich überraschend. Im Allgemeinen ist es ziemlich schlicht und bestenfalls ein Protokollfüller, während ein echter Angriff stattfindet.

Wie wäre es mit einem Aufruf an die Behörde? Sie können sich auf die technischen Implementierungsrichtlinien für DoD-Sicherheit beziehen (iase.disa.mil/stigs/stig) und sagen: "Wenn es gut genug für das Verteidigungsministerium ist, ist es gut genug für uns."

Zu bedenken: Wenn Sie ein Passwort haben, das sich nicht ändert, und die Brute-Force-Angriffe ein Universum von Passwörtern testen, das auch Ihre umfasst, wird der Brute-Force-Angriff garantiert irgendwann eintreten und Sie bleiben danach verwundbar.

Die "Chance", dass eine zufällige Auswahl Ihr Passwort trifft, kann berechnet werden, wie Sie vorgeschlagen haben, aber das kann möglicherweise nicht die ganze Geschichte erzählen.

Wenn Sie sich zum Beispiel die Brute-Force-Versuche ansehen und feststellen, dass das längste Kennwort, das sie versuchen, 10 Zeichen beträgt, stellen Sie sicher, dass Sie niemals getroffen werden, wenn Sie irgendetwas bei 12 auswählen.

Seien Sie sehr vorsichtig, wenn Sie versuchen, Statistiken auf einen bestimmten Fall anzuwenden. Sie prognostizieren das Gesamtverhalten nur bei einer großen Anzahl von Stichproben.

Abgesehen davon, wenn die Mathematik jemanden nicht überzeugt (oder nicht überzeugen kann), versuchen Sie, etwas zu finden, das ungefähr die gleiche Wahrscheinlichkeit des Auftretens hat, aber bekannt ist, wie z. B. Lotterien oder Autounfälle oder Blitzeinschläge. Wenn Sie sagen können, "die Chance, dass jemand dieses Passwort schlägt, entspricht in etwa dem Gewinn der sechs aufeinanderfolgenden Wochen der Lotterie", könnte dies ein besseres Gefühl für ihn schaffen.

Eine Sache, die nicht berücksichtigt wurde, ist der Benutzername, den das Botnetz für Bruteforce verwendet. In all den Fällen, in denen ich gesehen habe, dass die Brute Forces für Variationen von Admin und Root eingesetzt wurden, und in einem seltenen Fall für Benutzernamen, die von der Corp-Website entfernt wurden.

Ich würde auch die Beschränkungen für die interaktive Anmeldung so ändern, dass Ihr Root-Konto entweder deaktiviert (bevorzugt) oder auf Ihr lokales Subnetz oder einen ähnlichen Adressbereich beschränkt ist.

Zweimal pro Sekunde ist nicht schlecht. Früher haben wir Tausende von Versuchen pro Minute gesehen, bevor Fail2Ban implementiert wurde , das eine bestimmte IP- nach so vielen fehlgeschlagenen Versuchen für eine festgelegte Zeitspanne aus dem Netzwerk sperrt (alle konfigurierbar).

Das hat bei uns super geklappt.

Tatsächlich können Sie mithilfe von iptables selektiv gegen Brute-Force-ssh-Angriffe scannen, wenn dies für Sie funktioniert.

Diese beiden Zeichenfolgen:

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name sshscans 
iptables -A INPUT -m recent --rcheck --seconds 60 --hitcount 5 --name sshscans --rsource -j DROP 

blockiert den Zugriff auf alle Benutzer, die mehr als fünf Mal in einem Abstand von 60 Sekunden versuchen, eine Verbindung zu SSH herzustellen. Sie können die Zahl "--hitcount" ändern, wenn eine größere Zahl als 5 pro Sekunde zulässig sein soll.

Ich bin damit einverstanden, dass das Ändern des Passworts alle 10 Minuten etwas übertrieben erscheint. An diesem Punkt stellt sich das Problem, wie Sie das neue Kennwort sicher übertragen und die Systeme miteinander synchronisieren können.

Dieser Artikel enthält einige interessante Statistiken zu Rissgeschwindigkeiten:

http://www.lockdown.co.uk/?pg=combi

http://en.wikipedia.org/wiki/Password_cracking

Es ist überraschend, wie viele Menschen Exponentialkurven nicht verstehen, aber jeder kennt den Unterschied zwischen 10, 100 und 1000, daher ist dies möglicherweise ein guter Ort, um Vergleiche anzustellen.

Eine andere Taktik könnte darin bestehen, den Leuten tatsächlich zu zeigen , wie lange es dauert, ein 6-stelliges Passwort zu erzwingen. Wenn Sie Programmierkenntnisse haben, können Sie sich ein schnelles Tool zusammenstellen, das dies erledigt.

Sie könnten ihnen auch zeigen, wie leicht verfügbar die Regenbogentabellen sind:

http://project-rainbowcrack.com/table.htm

Das mag ein bisschen unkonventionell sein, aber ich verwende Denyhosts und es ist stark reduzierte Brute-Force-Versuche auf meinen Linux-Boxen.